این گروه با انتشار بیانیه خود در سایت پیست.بین شیطان آل سعود را نوکر امریکا و اسرائیل خواند که نسبت به جنایات صهیونیستها در لبنان و غزه سکوت کرده و امروز در سوریه دست به انتقام جویی کور بابت جنگ در لبنان و نیز علیه جنبش های راستین منطقه زده است.
این گروه در ادامه گفته به همین خاطر عملیات موسوم به صحابه النبی را علیه زیر ساختهای اینترنتی در بخش نفت و انرژی عربستان انجام داده است.
پنجشنبه حمله سایبری حساب شده ای به زیر ساختهای اینترنتی عربستان صورت گرفت و در آن شبکه کامپیوتری بزرگترین شرکت نولید نفت جهان - آرامکو– را از کار انداخت.
به گفته کارشناسان نسخه به روز شده بدافزار موسوم به فلیم (flame) که چندی پیش تاسیسات نفتی ایران در خارک را نشانه گرفت، در این عملیات مورد استفاده قرار گرفته شده است.
این ویروس همچنین باعث اختلال در شبکه برق رسانی در عربستان شده است. چرا که ویروس جدید بعد از سرقت اطلاعات، از انچا در کامپیوتر است را پاک کرده و سیستم را به حالت قبل از ایجاد سیستم عامل بر می گرداند و این بدان معنا است که مستربوت کامپیوتر را ریست می کند.
کارشناسان امریکایی و اسرائیلی بلافاصله دست بکار شده و کاسپرسکی که بعنوان اولین شرکت فلیم یک و دو را کشف کرده، از کارشناسان خواسته تا با رمز گشایی ویروس، به این شرکت کمک کنند و حدسهای اولیه نشان می دهد این بد افزار، نسخه به روز شده فلیم است.
آرامکو اعلام کرد بدلیل جلوگیری از تخریب شبکه خود را از دسترس خارج کرده است اما تولید این شرکت کماکان ادامه دارد.
همان پنجشنبه سیمانتک تحلیل خود را از وضعیت آلودگی شبکه های خاورمیانه به ویروسی که نام آنرا شامون (shamoon) یا Disttrack گذاشت، منتشر کرد.(شامون نام دایرکتوری است که ویروس آنرا ساخته و منتشر می کند. شامون نام عربی سیمون است.)
بدلیل قدرت تخریبی شامون، کارشناسان آنرا نسخه کپی شده فلیم می دانند که تاسیسات نفتی ایران را اخیرا مورد هدف قرار داد. اما کارشناسان کاسپرسکی تنها همین مورد را وجه اشتراک می دانند و می گویند ویروس با الگویی متفاوت از فلیم شبکه را آلوده می سازدو
به گفته کارشناسان سیمانتک وقتی این ویروس که از نوع کرم است خود را روی کامپیوتر اجرا می کند روی دایرکتوری های زیر باز می شود:
- \\[COMPUTER NAME]\ADMIN$
- \\[COMPUTER NAME]\C$\\WINDOWS
- \\[COMPUTER NAME]\D$\\WINDOWS
- \\[COMPUTER NAME]\E$\\WINDOWS
و فایل های زیر را ایجاد می کند:
- %System%\trksrv.exe
- %System%\netinit.exe
- %System%\drivers\drdisk.sys
- %System%\[NAME SELECTED FROM LIST].exe
و فایل زیر را پاک می کند:
%System%\drivers\drdisk.sys
سه ماژول اصلی این ویروس را یاری می کند ماژول Dropper که محتویات را روی کامپیوتر قربانی می ریزد. ماژول Wiper که اطلاعات را پاک می کند و ماژول Reporter که اطلاعات را به حمله کننده ارسال می کند.
ماشین قربانی تا استارت مجدد نشود، معلوم نمی شود که تحت حمله قرار گرفته و این زمانی است که دیگر کامپیوتر بالا نمی آید.
اولین ماشین مورد حمله واقع شده با پراکسی به اینترنت وصل بوده (به گفته راف از اس.سی.مگزین) و سایر ماشین ها در تاسیسات نفتی آرامکو هر چند به اینترنت وصل نبوده اند ولی از طریق شبکه داخلی آلوده شده اند و همین ماشین آلوده برای ارسال اطلاعات به حمله کننده و به سرور موسوم به سی.اند.سی (command&control server) مورد استفاده قرار گرفته شده است.
آنالیز این ویروس همچنان در شرکتهای امنیتی ادامه دارد.
/5656
نظر شما